教育机构保护其数据的技巧

您是否知道，平均而言，黑客每39 秒攻击一次可以访问 Internet 的计算机？拥有易于破解的用户名和密码，如“root”、“admin”、“test”、“test123”等，只会让他们的工作更轻松。教育机构的数据非常关键，但没有多少人将数据安全视为他们的首要任务之一。未能保护学生数据不仅会影响学院的声誉，而且他们还有义务对每条被泄露的记录支付巨额罚款。然而，随着技术控制信息的增加和安全漏洞的增加，教育机构正在慢慢接受数据安全实践。

关于教育机构数据泄露的一些事实

平均而言，仅在美国，每天就有超过6000 万学生和教师使用该机构的互联网和其他内部在线应用程序。如此多的关于学生、教师和机构的信息和数据都暴露在外，随时可供访问。未能保护这些数据可能会导致关键数据和个人信息的巨大损失。

以下是过去 10 年影响一些顶级教育机构的一些数据攻击。从ITRC 资源中心收集的数据。

亚利桑那州的马里科帕社区学院发生了两次背靠背的数据泄露攻击——一次发生在 2011 年，另一次发生在 2013 年。属于学生、教师和供应商的大量个人数据（例如姓名、地址和社会安全号码）被泄露并在网上销售。

2019 年，未经授权访问 Web 应用程序导致佐治亚理工学院发生大规模数据泄露事件。大约 130 万用户（员工、学生、教职员工）的个人信息遭到泄露。

在这个技术世界中，我们往往会忘记网络犯罪也可能发生在物理世界中！2017 年，华盛顿州立大学锁定了一个硬盘，其中包含大约 110 万用户的关键信息。不用说，这个硬盘被盗了，数据也被泄露了。该大学必须向该数据库犯罪中的每个受害者支付 5000 美元作为和解金，以便其他教育机构加强其安全系统以避免此类违规行为。

教育机构的顶级数据安全提示

学校和大学发生数据泄露的几个主要原因是网络防火墙薄弱、未经授权的访问、缺乏网络犯罪响应计划等等。但大多数网络安全攻击都是由于人为错误造成的——95%的时间！

然而，遵循一些指导方针和程序可以帮助教育机构更好地保护他们的数据——

数据存储

许多教育机构更喜欢本地存储，因为它可以完全控制数据。物理安全是这里的一个大问题，应采取措施保护数据服务器。然而，大型机构的另一个选择是使用基于云的存储选项。它不仅提供更多空间（易于扩展），还提供各种保护数据隐私的选项。这里有一些提示可以帮助您做出更好的选择——

选择本地存储时，请确保实施数据加密。（不要忘记安全存储加密密钥）

确保您的前员工（被解雇或心怀不满）在离开机构后无法访问服务器。

选择提供高级安全性的基于云的服务，如强加密、SSL/TSL 协议、零知识加密（密钥不会由提供商存储）。

私有云为公共云服务器提供了更高的安全性和控制。

探索混合数据存储解决方案，该解决方案提供基于云的存储和基于本地的存储的完美组合。

强大的数据隐私标准

教育机构处理各种数据。在学生到教师到管理之间传输的数据。有了严格的数据安全标准和政策，就可以防止数据泄露。

应实施社交媒体法以避免网络钓鱼攻击、网络欺凌和数据泄露。学生和教职员工应接受培训并告知如何在机构网络上安全使用社交媒体

电子邮件政策应包括警告教职员工和学生通过电子邮件共享个人信息、在发送大量电子邮件时使用密件抄送、避免共享极其敏感的数据等。

应制定有关访问互联网的政策。例如，应警告学生和教职员工不要使用包含露骨内容、没有 SSL 证书 (https)、点击有害链接等的网站。

内容过滤器和互联网防火墙应经常更新，限制对垃圾邮件站点和不当内容的访问。

安全的内容管理系统

教育机构的网站很容易受到攻击，因为它是数据库的一个简单入口。考虑到网站拥有大量重要的学生和管理信息，保护它变得更加重要。

在选择安全的 CMS 之前应该记住的事情 -

开源 CMS 始终是更好的选择，因为它由不断致力于改进 CMS 的社区提供支持。

精细的内容和访问控制。

单点登录为拥有多个资源中心的机构提供更安全的环境。

安全意识计划

正如我们之前所讨论的，95% 的网络犯罪是由于人为错误而发生的。因此，组织频繁的安全意识计划和教育学生、教师和管理人员变得非常重要。安全威胁的类型和级别随着时间的推移而变化，因此定期更新安全策略和合规性法规非常重要。你的意识计划应该包括什么？

应注意正确选择数字通信方法以及如何安全使用它们。

关于登录保护的定期培训课程，包括强密码和用户名，以及为什么他们不应该与任何人共享。

意识到点击有害的第三方链接和下载恶意电子邮件附件。

由于大多数员工都不是非常精通技术，因此培训他们在发现问题后立即向 IT 部门报告是非常重要的。

对员工和学生进行安全可靠的在线购物培训。

持续监控数据

随着大量敏感数据在教育机构中存储和移动，很难找到攻击的根本原因。保持数据透明并且 IT 人员知道数据的确切存储位置和移动位置非常重要。解决方案？数据丢失防护 (DLP) 系统。DLP 软件提供了一组工具和流程，可确保数据不被违反、丢失或滥用。

它提供了对数据和控制的深入分析和可见性，有助于保护它。

在任何数据泄露之前，可以阻止可疑帐户。

识别任何违反机构政策的行为。

允许跟踪网络和端点上的数据。

限制使用便携式设备

大部分学生的普遍做法是使用便携式设备（如 USB）随身携带他们的工作并将它们连接到教育机构的计算机。这是一个简单但巨大的漏洞，需要立即关注。

应建立关于如何在校园内安全使用便携式设备的意识。

鼓励使用可自动加密数据的设备。

DLP 工具还可以通过限制便携式设备的访问和使用来提供帮助。

准备好应急计划

严格执行上述策略可以防止数据泄露，但不能完全排除这种可能性。始终确保制定了灾难恢复计划。IT 人员应确保即使在受到黑客攻击后，其他一切仍能顺利运行，不会出现任何故障。拥有保险来支付数据泄露攻击后的成本非常重要。

技术有利也有弊。在这个快速发展的技术世界中，保护敏感和个人数据变得更加重要。学校和大学处理大量关于学生、家长、教职员工和管理层的重要信息。登录凭据、地址、社会安全号码等信息有被坏世界泄露和滥用的风险。教育机构是第二个最容易受到黑客攻击的行业。实施数据安全策略有助于减轻可能的攻击。